Selon le dernier rapport de l’(ISC)² il manque aujourd’hui 2,72 millions de professionnels de cyber sécurité sur le marché du travail. 57 % des organisations affirment être touchée par cette pénurie de compétences (Oltsik et Lundell, 2021). La pénurie mondiale d’expert en cyber sécurité a un impact direct et significatif sur les organisations et leur capacité à se protéger. Pour faire face à cette pénurie, il devient urgent de réinventer le recrutement en gardant à l’esprit la dimension dynamique du secteur pouvant entrainer une obsolescence rapide des compétences (Maillard, 2021).
Le recrutement doit se penser en termes de « recherche de talents » et non plus de « poste à pourvoir »
Les pénuries de compétences font normalement référence au manque de professionnels sur le marché du travail et sont mesurées par les postes vacants difficiles à pourvoir. Plus précisément, il y a pénurie lorsque les employeurs ont des difficultés à recruter des professionnels malgré des salaires conformes au marché. Cette pénurie s’étend à la fois sur le plan « vertical » -niveaux de compétences attendus- mais aussi sur le plan « horizontal » -diversité des compétences- (McGuiness, Pouliakas et Redmond, 2018).
- En terme de diversité de compétences, les métiers de la cyber sécurité englobent à la fois des aspects techniques et non techniques, nécessitant des compétences plus larges en matière de gestion et de communication. Notons, que parmi les 11 compétences de cyber sécurité identifié par Fischer en 2019 plus de la moitié sont transverses à d’autres domaines tel que la sécurité (audit, conformité et tests) ou le management (gestion des équipes, leadership).
- En terme de niveaux de compétences. Une tendance naturelle des recruteurs est de surévaluer le niveau de compétences nécessaires. A partir d’une très riche revue de la littérature sur les métiers en cyber sécurité Furnell (2021) a pu distinguer six niveaux de compétences: Allant du niveau 1 « connaissance » (a acquis et peut démontrer une connaissance de base associée de la compétence, suivi des bonnes pratiques d’utilisation) au niveau 6 « praticien expert» (niveau d’expertise reconnu par les pairs. Il initie, permet et assure. C’est le niveau qui dirige la mise en œuvre de la compétence).
Aujourd’hui de nombreuses entreprises tombent dans le piège de rechercher des candidats licornes- avec un niveau de compétences techniques et non-technique très élevé – et qui se retrouvent ensuite frustrés : il n’y a pas beaucoup de personnes possédant les compétences complètes et le marché les paie le plus cher.
Le recrutement doit se penser en termes de « compétences, d’aptitudes, de formations,… » et non plus en termes « d’écoles ou de diplômes,…».
Il est possible de réduire la pénurie de talents en ouvrant l’éventail des profils recherché. Il s’agit alors pour les organisations de se demander si certaines des compétences recherchées peuvent être trouvées dans un métier, poste différent ou si une expérience de travail pertinente peut suffire pour les qualifications de sécurité. Dans cette optique quatre stratégies peuvent être privilégié :
- Mener des prospections en interne couplées à de la formation. Un développeur informatique peut devenir un bon candidat en tant que « DevSecOps », poste incluant les acquis du développement ainsi que ceux d’un profil « cyber ». Un responsable financier qui a audité des processus pourrait être un bon candidat pour se former à un rôle de gouvernance.
- Favoriser une approche de « nouveau col » (Boisvert, 2018). Il s’agit de faire appel à des professionnels qui n’ont peut-être pas de diplôme universitaire mais qui possèdent les compétences et aptitudes techniques nécessaires. Cette approche se concentre sur les compétences, l’expérience et les aptitudes plutôt que sur les diplômes.
- Réaliser des entretiens à partir d’études de cas plutôt qu’une liste de questions. Quel que soit le niveau de compétence ou d’expérience du candidat cela leur donne une chance de montrer leurs capacités et leurs processus de réflexion.
- Partenariat avec des établissements d’enseignement supérieur pour (1) offrir des stages, des collaborations « junior consulting » (2) créer de nouveaux programmes de formation initiale à l’instar du programme P-Tech (3) implémenter des chaires entreprises. Aujourd’hui, 66 établissements de formation d’enseignement supérieur répartis sur l’ensemble du territoire (octobre 2021) répondent au label qualité « SecNumedu» délivré par l’ANSSI.
Références
Boisvert, S. (2018). The new collar workforce. Photonics Media Press.
Cox, C. M. (2020). Augmenting autonomy:‘New Collar’labor and the future of tech work. Convergence, 26(4), 824-840.
Fischer, P. J. (2019). A Cybersecurity Skills Framework. Cybersecurity Education for Awareness and Compliance, 2019.
Furnell, S. (2021). The cybersecurity workforce and skills. Computers & Security, 100, 102080.
Maillard, D. (2021). The Obsolescence of Man in The Digital Society. International Journal for Applied Information Management, 1(3), 99-124.
McGuinness, S., Pouliakas, K., & Redmond, P. (2018). Skills mismatch: Concepts, measurement and policy approaches. Journal of Economic Surveys, 32(4), 985-1015.